SlideShare una empresa de Scribd logo

IOCs Defensa Colaborativa frente Amenazas Avanzadas

Descargar como PPTX, PDF
D
David Pérez Comendador
1 de 31
IOCs: Defensa Colaborativa frente Amenazas Avanzadas David Pérez Comendador David.perez@pandasecurity.com @perez_1987
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2 Índice 1. Datos sobre el CiberCrimen en 2015 2. Servicios del CiberCrimen 3. Casos conocidos del CiberCrimen en 2015 4. ¿Cómo podemos combatir ante el CiberCrimen organizado?
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 3 1. Datos sobre el CiberCrimen en 2015
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 4
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 5 Datos Víctimas del CyberCrimen en 2015 431 MILLONES Víctimas del CiberCrimen (69 % ADULTOS) +1 MILLON / DIA 50000 / HORA 820 / MINUTO 15 VICTIMAS POR SEGUNDO!!!!!! Fuente: Microsoft
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 6 2. Servicios del CiberCrimen
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 7 El servicio del CiberCrimen • Infraestructura • Datos • Pago por instalación • Hacking • Traducción • Lavado de dinero
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 8 3. Casos conocidos del CiberCrimen en 2015
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 9 Casos del CiberCrimen conocidos en 2015: Anthem en febrero reconoció un robo de datos de 80 millones de clientes por un ataque con un coste aprox 100 millones de $ AdultFriendFinder en marzo sufrió el robo de los datos de clientes. Los atacantes ofrecieron 70 bitcoint s (17000 $) por la BBDD. Fue publicada. En febrero una comisaría de Illinois pagó 500 $ por recuperar la info de uno de sus ataques Fuente: Informe PandaLabs 2015. http://www.pandasecurity.com/spain/mediacenter/src/uploads/2014/07/Pandalabs-2015-anual-ES.pdf
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 10 4. ¿Cómo podemos combatir ante el CiberCrimen organizado?
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 11 Fuente: IBM
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 12 ¿Cómo podemos combatir ante el ciber crimen organizado?
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 13
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 14 ¿De qué manera podemos compartir información? “IOC es la descripción de un incidente de ciberseguridad, actividad y/o artefacto malicioso mediante patrones para ser identificado en una red o endpoint pudiendo mejorar así las capacidades ante la gestión de incidentes.”
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 15 ¿Cómo y dónde podemos generar y/o compartir IOCs? • ¿Dónde?: • ¿Cómo?:
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 16 Representa un lenguaje para la especificación, la captura, la caracterización y comunicación de información estandarizada amenaza cibernética de una manera estructurada para apoyar los procesos de gestión de amenaza cibernética más eficaces y aplicación de automatización, soportado por OASIS
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 17 ¿Qué caracterizamos con cada tipo de objeto? Fuente: stix.mitre.org
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 18 Ejemplos: +90 Tipos (Ficheros, IPs, E-mails, Claves de Registro) IP: 192,168,1,1 Hash: a98079807649123.. Fichero: FileName prueba_malware.exe Descripción de algo que se pueda ver El md5 a98079807649123… es un MW del tipo Kido Email desde pepito@mufasa.com es phishing Información acerca de una investigación de un incidente de ciberseguridad El equipo PANDA-DAVID, propietario David Pérez, está infectado por el MW Kido Tácticas, técnicas y procedimientos: Descripción del comportamiento y los recursos utilizados por el atacante, incluyendo el MW, patrones, infraestructura, herramientas, personajes o localización El Malware Kiko ha accedido mediante SQL Injection atacando al departamento de Retail conectándose a la IP 1.2.3.4 Describen vulnerabilidades u errores de configuración. Se pueden describir CVE, CCE, CWE. CVE-2014-0160 Heartbleed Describe un patrón de actividad en curso con un propósito u objetivo común Campaña contra la banca Información sobre amenazas y/o individuos que ejecutan ataques. Anonymous, KDZ-23, APT También se puede incluir información adicional como la nacionalidad Respuestas preventivas o reactivos a la actividad de amenazas Instalar el KB-343432 o limpiar la cache o eliminar la entrada de registro X
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 19 Arquitectura: Fuente: stix.mitre.org
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 20 Casos de uso: 1. Analizar Ciber amenazas 2. Especificación de Patrones de los indicadores de Ciber Amenazas 3. La gestión de incidentes de ciber seguridad: 1. Prevención 2. Detección 3. Respuesta 4. Compartición de ciber amenazas
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 21 Fuente: stix.mitre.org
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 22 Caso práctico de caracterización de un incidente de ciber seguridad (Locky: Primera Campaña) Fuente: Panda Security Un usuario en una empresa española recibió un correo con un fichero adjunto:
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 23 El correo fue abierto y ejecutado su contenido el cual contenía una variante de Cryptolocker (Locky). Después de la apertura del correo y la ejecución del fichero adjunto, al usuario se le abrió el notepad con el siguiente texto: Todos los ficheros de su ordenador quedaron cifrados. La máquina se procede a su desconexión inmediata y se pasa al Departamento de Seguridad el incidente para la recopilación de evidencias, respuesta y prevención.
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 24 Una vez hecho un primer análisis el Dep Seguridad se encuentra con los siguientes indicadores de compromiso: IOCs en Email: Subject: ATTN: Invoice J-62163564 Sender: RandallAriel900@universalshop.ch Filename: invoice_J-62163564.doc SENDER SUBJECT FILENAME OBJECT O E-MAIL
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 25 IOCs en Disco: El dropper se descarga un fichero dentro de la carpeta temporal: Filename: c:Users<username>AppDataLocalTemp[A-Z]{10}.exe El fichero con la información para desencriptar los ficheros: Filename: _Locky_recover_instructions.txt MD5 del fichero descargado (Generado de forma aleatoria) Hash: d10a376572a1b107fa4157009223edb1 Claves de registro creadas: Registry keys: HKEY_USERSSoftwareLocky"completed" HKEY_USERSSoftwareLocky"paytext" HKEY_USERSSoftwareLocky"id" HKEY_USERSSoftwareLocky"pubkey“ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Locky" REGISTR Y FILENAME OBJECT O FILE HASH
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 26 IOCs de Red: El dropper se intenta descargar desde varias URLs: Value: www.iglobali.com/34gf5y/r34f3345g.exe www.jesusdenazaret.com.ve/34gf5y/r34f3345g.exe www.villaggio.airwave.at/34gf5y/r34f3345g.exe VALUE OBJECT O URI
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 27 Si hacemos una primera relación de IOCs: Campaña Locky IOCs Ficheros IOCs Red IOCs Email TTP Relacionado TTP Relacionado TTP Relacionado Variante de Víctimas Ataque Usado Usa el Malware Cryptolocker Locky SPAM Víctimas en ES Contiene
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 28 PR: Prevención y Respuesta Preventiva: • Bloqueo del acceso en los sistemas perimetrales a los IOCs de Red y de Email • Búsqueda en los endpoints del parque de los IOCs de ficheros que ha podido crear el MW (Entradas de Registro, Nombres de fichero, Hash..) • Detección y bloqueo de procesos que intenten borrar las copias de seguridad del sistema • Búsqueda en los sistemas perimetrales de más equipos que hayan podido recibir más emails o se hayan conectado a las URLs relacionadas con el malware dentro del parque. Recovery: Debido al cifrado de los ficheros encriptados la única solución sería acceder al pago y seguir las instrucciones del notepad
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2920/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 29 Si conectamos las COAs: Campaña Locky IOCs Ficheros IOCs Red IOCs Email TTP Relacionado TTP Relacionado TTP Relacionado Variante de Víctimas Ataque Usado Usa el Malware Cryptolocker Locky SPAM Víctimas en ES COAs Sugeridas
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 30 Más info: Página oficial: http://stix.mitre.org (Tecnologias, fabricantes, comunidades que soportan STIX, como compartir y crear perfiles de compartición, comunidades..) Github: https://github.com/STIXProject/ Cualquier duda: David.perez@pandasecurity.com
David Pérez Comendador david.perez@pandasecurity.com @perez_1987

Recomendados

Intro cybersecurity additional resources and activities
Intro cybersecurity additional resources and activitiesIntro cybersecurity additional resources and activities
Intro cybersecurity additional resources and activitiesGuido Romo
 
Privacidad seguridad red
Privacidad seguridad redPrivacidad seguridad red
Privacidad seguridad redPedro Cuesta
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018ITSitio.com
 
Riesgos de la Información Electrónica
Riesgos de la Información ElectrónicaRiesgos de la Información Electrónica
Riesgos de la Información ElectrónicaVictorAlfonsoGuarinM
 
Inteligencia en Seguridad IT
Inteligencia en Seguridad ITInteligencia en Seguridad IT
Inteligencia en Seguridad ITXelere
 
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Randy Varela
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 

Recomendados

Intro cybersecurity additional resources and activities
Intro cybersecurity additional resources and activitiesIntro cybersecurity additional resources and activities
Intro cybersecurity additional resources and activitiesGuido Romo
 
Privacidad seguridad red
Privacidad seguridad redPrivacidad seguridad red
Privacidad seguridad redPedro Cuesta
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018ITSitio.com
 
Riesgos de la Información Electrónica
Riesgos de la Información ElectrónicaRiesgos de la Información Electrónica
Riesgos de la Información ElectrónicaVictorAlfonsoGuarinM
 
Inteligencia en Seguridad IT
Inteligencia en Seguridad ITInteligencia en Seguridad IT
Inteligencia en Seguridad ITXelere
 
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Randy Varela
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...kougar80
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
 
Analizando un delito informático
Analizando un delito informáticoAnalizando un delito informático
Analizando un delito informáticoEdmundo Diego Bonini ஃ
 
Robo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmasRobo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmasGonzalo Espinosa
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
 
Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridadRamiro Cid
 
Ensa module 3 (1)
Ensa module 3 (1)Ensa module 3 (1)
Ensa module 3 (1)Marco Antonio Perelli Henríquez
 
Producto 2 alexandra mendoza ortiz
Producto 2 alexandra mendoza ortizProducto 2 alexandra mendoza ortiz
Producto 2 alexandra mendoza ortizAlexandra O
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Analisis de las mega breaches entre vulnerabilidades y amenazas
Analisis de las mega breaches entre vulnerabilidades y amenazasAnalisis de las mega breaches entre vulnerabilidades y amenazas
Analisis de las mega breaches entre vulnerabilidades y amenazasSebastian Rebolledo Le Breton
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticavrme
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacionpredeitor
 
Seguridad Vs Acceso global de la informacion
Seguridad Vs Acceso global de la informacionSeguridad Vs Acceso global de la informacion
Seguridad Vs Acceso global de la informacionAbsner Anaya
 
Resuelto power
Resuelto powerResuelto power
Resuelto powerSaulithoL2029
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónPanda Security
 

Más contenido relacionado

Similar a IOCs Defensa Colaborativa frente Amenazas Avanzadas

Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...kougar80
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
 
Robo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmasRobo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmasGonzalo Espinosa
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
 
Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridadRamiro Cid
 
Producto 2 alexandra mendoza ortiz
Producto 2 alexandra mendoza ortizProducto 2 alexandra mendoza ortiz
Producto 2 alexandra mendoza ortizAlexandra O
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Analisis de las mega breaches entre vulnerabilidades y amenazas
Analisis de las mega breaches entre vulnerabilidades y amenazasAnalisis de las mega breaches entre vulnerabilidades y amenazas
Analisis de las mega breaches entre vulnerabilidades y amenazasSebastian Rebolledo Le Breton
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticavrme
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacionpredeitor
 
Seguridad Vs Acceso global de la informacion
Seguridad Vs Acceso global de la informacionSeguridad Vs Acceso global de la informacion
Seguridad Vs Acceso global de la informacionAbsner Anaya
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónPanda Security
 

Similar a IOCs Defensa Colaborativa frente Amenazas Avanzadas (20)

Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
 
Analizando un delito informático
Analizando un delito informáticoAnalizando un delito informático
Analizando un delito informático
 
Robo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmasRobo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmas
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
 
Ensa module 3 (1)
Ensa module 3 (1)Ensa module 3 (1)
Ensa module 3 (1)
 
Producto 2 alexandra mendoza ortiz
Producto 2 alexandra mendoza ortizProducto 2 alexandra mendoza ortiz
Producto 2 alexandra mendoza ortiz
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para Android
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Analisis de las mega breaches entre vulnerabilidades y amenazas
Analisis de las mega breaches entre vulnerabilidades y amenazasAnalisis de las mega breaches entre vulnerabilidades y amenazas
Analisis de las mega breaches entre vulnerabilidades y amenazas
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacion
 
Seguridad Vs Acceso global de la informacion
Seguridad Vs Acceso global de la informacionSeguridad Vs Acceso global de la informacion
Seguridad Vs Acceso global de la informacion
 
Resuelto power
Resuelto powerResuelto power
Resuelto power
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la Ciberextorsión
 

IOCs Defensa Colaborativa frente Amenazas Avanzadas

  • 1. IOCs: Defensa Colaborativa frente Amenazas Avanzadas David Pérez Comendador David.perez@pandasecurity.com @perez_1987
  • 2. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2 Índice 1. Datos sobre el CiberCrimen en 2015 2. Servicios del CiberCrimen 3. Casos conocidos del CiberCrimen en 2015 4. ¿Cómo podemos combatir ante el CiberCrimen organizado?
  • 3. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 3 1. Datos sobre el CiberCrimen en 2015
  • 4. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 4
  • 5. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 5 Datos Víctimas del CyberCrimen en 2015 431 MILLONES Víctimas del CiberCrimen (69 % ADULTOS) +1 MILLON / DIA 50000 / HORA 820 / MINUTO 15 VICTIMAS POR SEGUNDO!!!!!! Fuente: Microsoft
  • 6. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 6 2. Servicios del CiberCrimen
  • 7. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 7 El servicio del CiberCrimen • Infraestructura • Datos • Pago por instalación • Hacking • Traducción • Lavado de dinero
  • 8. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 8 3. Casos conocidos del CiberCrimen en 2015
  • 9. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 9 Casos del CiberCrimen conocidos en 2015: Anthem en febrero reconoció un robo de datos de 80 millones de clientes por un ataque con un coste aprox 100 millones de $ AdultFriendFinder en marzo sufrió el robo de los datos de clientes. Los atacantes ofrecieron 70 bitcoint s (17000 $) por la BBDD. Fue publicada. En febrero una comisaría de Illinois pagó 500 $ por recuperar la info de uno de sus ataques Fuente: Informe PandaLabs 2015. http://www.pandasecurity.com/spain/mediacenter/src/uploads/2014/07/Pandalabs-2015-anual-ES.pdf
  • 10. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 10 4. ¿Cómo podemos combatir ante el CiberCrimen organizado?
  • 11. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 11 Fuente: IBM
  • 12. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 12 ¿Cómo podemos combatir ante el ciber crimen organizado?
  • 13. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 13
  • 14. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 14 ¿De qué manera podemos compartir información? “IOC es la descripción de un incidente de ciberseguridad, actividad y/o artefacto malicioso mediante patrones para ser identificado en una red o endpoint pudiendo mejorar así las capacidades ante la gestión de incidentes.”
  • 15. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 15 ¿Cómo y dónde podemos generar y/o compartir IOCs? • ¿Dónde?: • ¿Cómo?:
  • 16. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 16 Representa un lenguaje para la especificación, la captura, la caracterización y comunicación de información estandarizada amenaza cibernética de una manera estructurada para apoyar los procesos de gestión de amenaza cibernética más eficaces y aplicación de automatización, soportado por OASIS
  • 17. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 17 ¿Qué caracterizamos con cada tipo de objeto? Fuente: stix.mitre.org
  • 18. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 18 Ejemplos: +90 Tipos (Ficheros, IPs, E-mails, Claves de Registro) IP: 192,168,1,1 Hash: a98079807649123.. Fichero: FileName prueba_malware.exe Descripción de algo que se pueda ver El md5 a98079807649123… es un MW del tipo Kido Email desde pepito@mufasa.com es phishing Información acerca de una investigación de un incidente de ciberseguridad El equipo PANDA-DAVID, propietario David Pérez, está infectado por el MW Kido Tácticas, técnicas y procedimientos: Descripción del comportamiento y los recursos utilizados por el atacante, incluyendo el MW, patrones, infraestructura, herramientas, personajes o localización El Malware Kiko ha accedido mediante SQL Injection atacando al departamento de Retail conectándose a la IP 1.2.3.4 Describen vulnerabilidades u errores de configuración. Se pueden describir CVE, CCE, CWE. CVE-2014-0160 Heartbleed Describe un patrón de actividad en curso con un propósito u objetivo común Campaña contra la banca Información sobre amenazas y/o individuos que ejecutan ataques. Anonymous, KDZ-23, APT También se puede incluir información adicional como la nacionalidad Respuestas preventivas o reactivos a la actividad de amenazas Instalar el KB-343432 o limpiar la cache o eliminar la entrada de registro X
  • 19. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 19 Arquitectura: Fuente: stix.mitre.org
  • 20. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 20 Casos de uso: 1. Analizar Ciber amenazas 2. Especificación de Patrones de los indicadores de Ciber Amenazas 3. La gestión de incidentes de ciber seguridad: 1. Prevención 2. Detección 3. Respuesta 4. Compartición de ciber amenazas
  • 21. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 21 Fuente: stix.mitre.org
  • 22. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 22 Caso práctico de caracterización de un incidente de ciber seguridad (Locky: Primera Campaña) Fuente: Panda Security Un usuario en una empresa española recibió un correo con un fichero adjunto:
  • 23. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 23 El correo fue abierto y ejecutado su contenido el cual contenía una variante de Cryptolocker (Locky). Después de la apertura del correo y la ejecución del fichero adjunto, al usuario se le abrió el notepad con el siguiente texto: Todos los ficheros de su ordenador quedaron cifrados. La máquina se procede a su desconexión inmediata y se pasa al Departamento de Seguridad el incidente para la recopilación de evidencias, respuesta y prevención.
  • 24. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 24 Una vez hecho un primer análisis el Dep Seguridad se encuentra con los siguientes indicadores de compromiso: IOCs en Email: Subject: ATTN: Invoice J-62163564 Sender: RandallAriel900@universalshop.ch Filename: invoice_J-62163564.doc SENDER SUBJECT FILENAME OBJECT O E-MAIL
  • 25. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 25 IOCs en Disco: El dropper se descarga un fichero dentro de la carpeta temporal: Filename: c:Users<username>AppDataLocalTemp[A-Z]{10}.exe El fichero con la información para desencriptar los ficheros: Filename: _Locky_recover_instructions.txt MD5 del fichero descargado (Generado de forma aleatoria) Hash: d10a376572a1b107fa4157009223edb1 Claves de registro creadas: Registry keys: HKEY_USERSSoftwareLocky"completed" HKEY_USERSSoftwareLocky"paytext" HKEY_USERSSoftwareLocky"id" HKEY_USERSSoftwareLocky"pubkey“ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Locky" REGISTR Y FILENAME OBJECT O FILE HASH
  • 26. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 26 IOCs de Red: El dropper se intenta descargar desde varias URLs: Value: www.iglobali.com/34gf5y/r34f3345g.exe www.jesusdenazaret.com.ve/34gf5y/r34f3345g.exe www.villaggio.airwave.at/34gf5y/r34f3345g.exe VALUE OBJECT O URI
  • 27. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 27 Si hacemos una primera relación de IOCs: Campaña Locky IOCs Ficheros IOCs Red IOCs Email TTP Relacionado TTP Relacionado TTP Relacionado Variante de Víctimas Ataque Usado Usa el Malware Cryptolocker Locky SPAM Víctimas en ES Contiene
  • 28. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 28 PR: Prevención y Respuesta Preventiva: • Bloqueo del acceso en los sistemas perimetrales a los IOCs de Red y de Email • Búsqueda en los endpoints del parque de los IOCs de ficheros que ha podido crear el MW (Entradas de Registro, Nombres de fichero, Hash..) • Detección y bloqueo de procesos que intenten borrar las copias de seguridad del sistema • Búsqueda en los sistemas perimetrales de más equipos que hayan podido recibir más emails o se hayan conectado a las URLs relacionadas con el malware dentro del parque. Recovery: Debido al cifrado de los ficheros encriptados la única solución sería acceder al pago y seguir las instrucciones del notepad
  • 29. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2920/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 29 Si conectamos las COAs: Campaña Locky IOCs Ficheros IOCs Red IOCs Email TTP Relacionado TTP Relacionado TTP Relacionado Variante de Víctimas Ataque Usado Usa el Malware Cryptolocker Locky SPAM Víctimas en ES COAs Sugeridas
  • 30. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 30 Más info: Página oficial: http://stix.mitre.org (Tecnologias, fabricantes, comunidades que soportan STIX, como compartir y crear perfiles de compartición, comunidades..) Github: https://github.com/STIXProject/ Cualquier duda: David.perez@pandasecurity.com